Знакомство с сервисом: документы. Журнал учета согласий субъектов персональных данных

Журнал учета передачи персональных данных | Статьи

При трудоустройстве любой сотрудник сталкивается с заполнением анкет и других документов, где указывает свои личные данные. В статье рассказывается о том, какая именно информация относится к персональным данным, кто несет ответственность за их сохранность, и как правильно вести журнал учета передачи персональных данных.

Из этой статьи вы узнаете:

• что считается персональными данными сотрудника;
• процесс передачи персональных данных;
• кто несет ответственность за сохранность персональных данных;
• как вести журнал учета передачи персональных данных.

Как правильно оформить журнал учета персональных данных

При устройстве на работу, будущий сотрудник заполняет множество документов, в большинстве из которых указывая ту или иную информацию о себе личного характера. В таких случаях очень важно, чтобы персональные данные были использованы строго в рамках назначенных целей. Важно, чтобы информация не поступила к третьим лицам, не имеющим к обработке данных никакого отношения. Стоит отметить, что без письменного разрешения будущего сотрудника обработка его личных данных невозможна и противозаконна.

Что относится к персональным данным

Персональные данные — это необходимая для работодателя информация о сотруднике, регулирующая трудовые отношения между ними.

К персональным данным относится следующая информация:

• паспортные данные;
• семейное положение;
• информация об образовании будущего сотрудника;
• информация по свидетельству обязательного пенсионного страхования;
• стаж работы и информация о предыдущих местах работы и т. д.

Вся эта информация необходима работодателю, чтобы составить трудовой договор и его личное дело на производстве, а также оценить его способности, чтобы использовать их в дальнейшей работе.

Важно понимать, что работодатель не может просить от работника большей информации, чем того требует цель сбора данных — заключение договора и оформление личного дела. И как мы уже говорили, личные данные возможно получить только непосредственно у сотрудника и только с его письменного разрешения. Если даже возникает ситуация, когда сделать это проблематично, то получение из третьих рук информации о сотруднике должно быть санкционировано самим сотрудником, подкрепленным его письменным разрешением об этом.

Читайте об образце согласия на обработку персональных данных образец

Читайте по теме в электронном журнале

Учет передачи персональных данных

Все взаимодействия с документами, содержащими личные данные сотрудников, должны регулироваться Положением о защите персональных данных. Это обязательный внутренний локальный документ, разработанный кадровиками. Законодательно не установлена строгая форма его оформления, но он должен соответствовать информации, указанной в ТК РФ. Утверждается руководителем.

Согласно ТК РФ, руководитель обязан обеспечить защиту предоставленных персональных данных о работниках.

Подробнее об обработке персональных данных работников читайте здесь:

Каждый работник, имеющий доступ к личным данным сотрудников в силу своих должностных обязанностей, должен подписать документы о неразглашении конфиденциальной информации. Как правило, список должностей, имеющих доступ к данным, указывается дополнительным приложением к Положению. Как правило, к ним относятся:

• сотрудники кадровой службы;
• руководители подразделений, например, главный бухгалтер. Они могут запрашивать информацию только в рамках своей деятельности.

Журнал учета передачи персональных данных

Как мы уже говорили ранее, работодатель должен очень бережно относиться к персональным данным работника и обеспечивать их сохранность на протяжении всей его работы и в процессе последующего архивного хранения.

Для того, чтобы посторонние лица не имели доступа к конфиденциальной информации сотрудников, на предприятии ведутся специальные журналы учета внутреннего доступа к персональным данным.

В самом журнале указываются следующие данные:

• дата выдачи и возврата личных дел сотрудников работникам организации;
• цель выдачи того или иного дела;
• наименование выданного документами;
• срок пользование выданными документами.

В случае, если выдано было много документов, то необходимо в момент выдачи произвести опись. Очень важно помнить, что сотрудники, получившие доступ к документам или личным делам сотрудника не имеют права делать в них заметки, исправлять, вносить новые записи или извлекать существующие документы.

Согласно ТК РФ, работодатель должен сам обеспечить безопасность и сохранность сбора и хранения данных. Несмотря на то, что нет точных рекомендаций по хранению данных, важно помнить, что это важная, конфиденциальная информация, которую надо оберегать от несанкционированного доступа, поэтому стоит продумать максимальные меры безопасности для ее хранения. 

Рекомендуем материалы по теме:

1. В каких случаях согласие сотрудника на передачу персональных данных не требуется;
2. Как организовать обработку персональных данных сотрудников;
3. Журналы учета и регистрации;
4. Обрабатываем персональные данные, принимая на работу;
5. 12 кадровых документов, которые помогут пройти любую проверку;
6. Генеральная уборка в кадрах: что делать со старыми документами.

www.kdelo.ru

Вопрос-ответ 4

Недавно в нашем образовательном учреждении проводился мониторинг защиты персональных данных и исполнения Закона о персональных данных. В представленном списке наличия организационно-распорядительной и нормативной документации был журнал учета согласий субъектов персональных данных. Обязательно ли вести учет согласий работников, регистрировать их? Также указали на обязательное наличие плана мероприятий по защите персональных данных. Обязателен ли он и на какой период должен быть составлен?

Согласно ст. 9 Закона о персональных данных в предусмотренных законом случаях обработка персональных данных осуществляется только с письменного согласия субъекта. В соответствии с приказом Минкомсвязи России от 14.11.2011 № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» в ходе проверки данная служба рассматривает документы оператора, в том числе письменные согласия субъектов персональных данных на обработку их персональных данных (п. 67.1.4. Административного регламента). Ведение журнала учета согласий не является обязательным, главное - наличие согласий субъектов на обработку персональных данных.

Кроме того, в соответствии с п. 1 ст. 18.1 Закона о персональных данных оператор самостоятельно определяет перечень мер, необходимых и достаточных для выполнения обязанностей по защите персональных данных, если иное не предусмотрено законодательством.

Так как ваша организация является образовательным учреждением, то вам следует руководствоваться актами Минобрнауки России. Так, в соответствии с письмом Рособразования от 22.10.2009 № 17-187 «Об обеспечении защиты персональных данных» со ссылкой на рекомендации ФСТЭК для обеспечения защиты информационных систем персональных данных рекомендованы:

1. Предпроектная стадия:

1) обследование информационных систем персональных данных;

2) разработка Плана мероприятий по обеспечению защиты персональных данных;

3) разработка Технического задания.

2. Стадия проектирования и реализации:

1) разработка Технического проекта;

2) внедрение технических средств защиты персональных данных;

3) разработка нормативной и регламентирующей документации.

3. Стадия ввода в действие:

1) опытная эксплуатация системы защиты персональных данных;

2) приемо-сдаточные испытания;

3) оценка соответствия требованиям по безопасности информации;

4) обучение персонала;

5) подача уведомления о начале обработки персональных данных.

В свою очередь, ФСТЭК рекомендует на предпроектной стадии по обследованию информационных систем персональных данных провести следующие мероприятия:

1) установить необходимость обработки персональных данных в информационных системах;

2) определить перечень персональных данных, подлежащих защите от несанкционированного доступа;

3) определить условия расположения информационных систем персональных данных относительно границ контролируемой зоны;

4) определить конфигурацию и топологию информационных систем персональных данных в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

5) определить технические средства и системы, предполагаемые к использованию в разрабатываемых информационных системах персональных данных, условия их расположения, общесистемные и прикладные программные средства, имеющиеся и предлагаемые к разработке;

6) определить режимы обработки персональных данных в информационных системах в целом и в отдельных компонентах;

7) определить класс информационной системы персональных данных;

8) уточнить степень участия должностных лиц в обработке персональных данных, характер их взаимодействия между собой;

9) определить (уточнить) угрозы безопасности персональных данных применительно к конкретным условиям функционирования информационных систем (разработка частной модели угроз). По результатам предпроектного обследования на основе настоящего документа с учетом установленного класса информационных систем персональных данных задать конкретные требования по обеспечению безопасности персональных данных, включаемых в техническое (частное техническое) задание на разработку системы защиты персональных дынных. В письме Рособразования обозначенные рекомендации являются примерными и должны быть адаптированы учреждениями с учетом конкретных условий обработки персональных данных. Поэтому разработка плана мероприятий по защите персональных данных, во-первых, носит рекомендательный характер, во-вторых, касается информационных систем защиты персональных данных.

У.М. Станскова

www.pro-personal.ru

Знакомство с сервисом: документы

Сервис готовит 40 документов.

В актах задокументированы значимые действия с персональными данными:

1. Акт определения уровня защищённости
2. Акт оценки потенциального вреда субъектам
3. Акт уничтожения персональных данных
4. Акт контроля соответствия обработки персональных данных

В журналах нужно регистрировать все события, связанные с обработкой персональных данных. Порядок превыше всего:

5. Журнал регистрации фактов нарушения и восстановления работоспособности ИСПДн
6. Журнал учёта обращений субъектов
7. Журнал учёта прав доступа
8. Журнал учёта проверок государственными органами
9. Журнал учёта средств защиты информации
10. Журнал учёта прохождения первичного инструктажа
11. Журнал учёта съёмных носителей

Инструкции устанавливают чёткие правила обработки персональных данных:

12. Инструкция по антивирусной защите
13. Инструкция по порядку уничтожения и обезличивания данных
14. Инструкция по проведению внутреннего контроля
15. Инструкция по проведению инструктажа работников
16. Инструкция по рассмотрению запросов субъектов
17. Инструкция по резервному копированию и восстановлению
18. Инструкция по учёту и хранению съёмных носителей
19. Инструкция по учёту лиц, допущенных к обработке данных
20. Инструкция пользователя информационной системы
21. Инструкция пользователя при возникновении нештатной ситуации
22. Инструкция ответственного за организацию обработки персональных данных
23. Инструкция ответственного за обеспечение безопасности персональных данных

В политике и положениях регламентируется обработка персональных данных:

24. Политика в отношении обработки данных
25. Положение о порядке доступа в помещения
26. Положение об обработке данных
27. Положение об обработке данных без использования средств автоматизации

Приказы доводят распоряжения руководства по вопросам персональных данных до работников:

28. Приказ о допуске к обработке данных
29. Приказ о назначении ответственных
30. Приказ об определении границ контролируемой зоны
31. Приказ об утверждении перечня данных
32. Приказ об утверждении перечня помещений
33. Приказ о хранении бумажных носителей персональных данных и назначении допущенных лиц
34. Приказ об утверждении перечня информационных систем персональных данных

35. Матрица доступа определяет, у кого и к каким данным в организации есть доступ.

Шаблоны и формы подскажут, как должны выглядеть некоторые документы:

36. Форма договора на поручение обработки
37. Форма согласия на обработку данных
38. Форма соглашения о неразглашении информации
39. Формы различных запросов субъектов персональных данных
40. Форма плана проведения внутреннего контроля

Не забывайте, что требования должны быть не только прописаны на бумаге, но и воплощены в жизнь.

152.kontur.ru

• 
  Журнал на пути к гражданскому обществу
• 
  Журнал локус люди общество культуры смыслы
• 
  Европейский журнал современного образования официальный сайт
• 
  Вестник самарского государственного экономического университета журнал
• 
  Бланк школьного журнала для оценок распечатать
• 
  Бессарабов советская прокуратура журнал российского права
• 
  Журнал hr менеджмент практика управления персоналом
• 
  Грузовики журнал с моделью 1 43
• 
  Фото аллы михеевой в журнале плейбой
• 
  Журнал русская рыба вчера сегодня завтра
• 
  Журнал труды кубанского государственного аграрного университета